Фирма кибербезопасности Fabric заявляет, что нашла новое семейство вредоносных программ для мобильных устройств, которое может запустить фальшивое наложение для определенных приложений, которые позволят пользователям Android предоставить свои фразы для криптовалюты по мере того, как он захватывает устройство.
Аналитики Fabric Agean заявили в отчете от 28 марта, что вредоносное ПО Crocodilus использует пользователей предупреждения о наложении экрана для резервного копирования ключа кошелька криптовалюты в определенный крайний срок или риск потери доступа.
«Как только жертва предоставит пароль из приложения, наложение отобразит сообщение: резервную копию ключа кошелька в настройках в течение 12 часов. В противном случае приложение будет сброшено, и вы можете потерять доступ к своему кошельку», – сказала Fabric.
«Этот трюк по социальной инженерии направляет жертву перейти к своему ключу кошелька Seed Frase, позволяя Crocodilus собирать текст, используя его регистратор доступности».
Как только актеры угроз получили семенную фразу, они могут захватить полный контроль над кошельком и «слейте его полностью».
Fabric, несмотря на новую вредоносную программу, Crocodilus имеет все функции современного банковского вредоносного ПО, с наложениями атаки, усовершенствованным сбором данных посредством захвата экрана конфиденциальной информации, такой как пароли и удаленный доступ, чтобы взять под контроль зараженное устройство.
Первоначальная инфекция возникает путем непреднамеренной загрузки вредоносного ПО в другом программном обеспечении, которое обходит Android 13 и защиту безопасности, согласно угрозе Fabric.
После установки Crocodilus запрашивает службу доступности, которая будет включена, что позволяет хакерам получить доступ к устройству.
«После предоставления вредоносное ПО подключается к серверу командования и контроля (C2) для получения инструкций, включая список целевых приложений и наложения, которые будут использоваться»,-сказал угроза Fabric.
Он работает непрерывно, мониторинг приложений запускает и отображает наложения для перехвата учетных данных. Когда открывается целевое приложение для банковской помощи или криптовалюты, фальшивое наложение запускается сверху и сопрягает звук, в то время как хакеры берут управление устройством.
«Благодаря украденному PII и полномочиям актеры угроз могут полностью контролировать устройство жертвы, используя встроенный удаленный доступ, завершая мошеннические транзакции без обнаружения»,-сказал угроза Fabric.
Команда Intelligence Intelligence Aghite Fabrix Fabrix обнаружила, что вредоносные программы предназначены для пользователей в Турции и Испании, но сказали, что объем использования, вероятно, со временем расширяется.
Связанный: Остерегайтесь «потрескавшегося» Tradingview-это крипто-украшение трояна
Они также предполагают, что разработчики могут говорить на турецком языке, основываясь на примечаниях в коде, и добавили, что актер угрозы, известный как Sybra или другой хакер, протестирующий новое программное обеспечение, может быть за вредоносным ПО.
«Появление Trojan Crocodilus Mobile Bank Trojan отмечает значительную эскалацию в утонченности и уровне угрозы, создаваемой современным вредоносным ПО».
«Благодаря своим расширенным возможностям уборов устройств, функциям дистанционного управления и развертыванием черных наложений от самых ранних итераций, Crocodilus демонстрирует уровень зрелости необычайно в недавно обнаруженных угрозах»,-добавила Fabric.
